Einmal kann am Linux-Router an der Konsole mittels "tcpdump -i eth0 src host <ip des Win-rechners>" das Suchziel herausgefunden werden, was evtl. auf das Programm schließen lässt. Andererseits am Win-Rechner den Autostart-Ordner, die WIN.INI (Load= oder Run=) und die Registry nach verdächtigen Programmen durchsuchen...( In der Registry mitels Regedit, suchen nach RunOnce und RunOnceEx. Auch den Run-Eintrag oberhalb von RunOnce prüfen...) Gruß karl -----Ursprüngliche Nachricht----- Von: Juergen Knott [mailto:jknott@medienwerft.de] Gesendet: Montag, 12. März 2001 10:39 An: Klingler, Karl Cc: suse isdn Betreff: Re: AW: [suse-isdn] Dail on demand Am Montag, 12. März 2001 09:53 schrieben Sie: Hallo!
Da sucht irgend ein Programm beim Systemstart nach einer IP-Adresse. Schon mal nach Spyware auf dem Rechner gesucht? Oder sucht eines der installierten Programme nach einem Update im Internet?
Ok, wie kann ich herausbekommen welches Programm eine INet Verbindung benötigt? Gruß Jürgen -- Dies ist eine Microsoft freie Mail!
Hallo alle die mir Tips gaben:
Da sucht irgend ein Programm beim Systemstart nach einer IP-Adresse. Schon mal nach Spyware auf dem Rechner gesucht? Oder sucht eines der installierten Programme nach einem Update im Internet?
Einmal kann am Linux-Router an der Konsole mittels "tcpdump -i eth0 src host <ip des Win-rechners>"
(Server hat die IP 192.1.68.1.2 und heisst boss, die WS hat die IP 192.168.1.20 und heisst suse) Das habe ich mal gemacht und das Resultat in ein File schreiben lassen. Hier das Ergebnis: --- Anfang Mitschnitt --- 17:42:02.779693 arp who-has suse tell suse 17:42:03.256230 arp who-has suse tell suse 17:42:04.257898 arp who-has suse tell suse 17:42:05.265290 arp who-has admiral.lokales-netz.de tell suse 17:42:05.265458 suse.netbios-ns > admiral.lokales-netz.de.netbios-ns:
NBT UDP PACKET(137): REGISTRATION; REQUEST; UNICAST TrnID=0x8000 OpCode=5 NmFlags=0x10 Rcode=0 QueryCount=1 AnswerCount=0 AuthorityCount=0 AddressRecCount=1 QuestionRecords: Name=SUSE NameType=0x00 (Workstation) QuestionType=0x20 QuestionClass=0x1
ResourceRecords: Name=SUSE NameType=0x00 (Workstation) ResType=0x20 ResClass=0x1 TTL=300000 ResourceLength=6 ResourceData= AddrType=0x6000 Address=192.168.1.20 17:42:05.270429 suse.netbios-ns > admiral.lokales-netz.de.netbios-ns:
NBT UDP PACKET(137): REGISTRATION; REQUEST; UNICAST TrnID=0x8002 OpCode=5 NmFlags=0x10 Rcode=0 QueryCount=1 AnswerCount=0 AuthorityCount=0 AddressRecCount=1 QuestionRecords: Name=ARBEITSGRUPPE NameType=0x00 (Workstation) QuestionType=0x20 QuestionClass=0x1
ResourceRecords: Name=ARBEITSGRUPPE NameType=0x00 (Workstation) ResType=0x20 ResClass=0x1 TTL=300000 ResourceLength=6 ResourceData= AddrType=0xE000 Address=192.168.1.20 17:42:08.273123 suse.netbios-ns > admiral.lokales-netz.de.netbios-ns:
NBT UDP PACKET(137): REFRESH(8); REQUEST; UNICAST TrnID=0x8004 OpCode=8 NmFlags=0x0 Rcode=0 QueryCount=1 AnswerCount=0 AuthorityCount=0 AddressRecCount=1 QuestionRecords: Name=ARBEITSGRUPPE NameType=0x00 (Workstation) QuestionType=0x20 QuestionClass=0x1
ResourceRecords: Name=ARBEITSGRUPPE NameType=0x00 (Workstation) ResType=0x20 ResClass=0x1 TTL=300000 ResourceLength=6 ResourceData= AddrType=0xE000 Address=192.168.1.20 17:42:08.273293 suse.netbios-ns > admiral.lokales-netz.de.netbios-ns:
NBT UDP PACKET(137): REGISTRATION; REQUEST; UNICAST TrnID=0x8006 OpCode=5 NmFlags=0x10 Rcode=0 QueryCount=1 AnswerCount=0 AuthorityCount=0 AddressRecCount=1 QuestionRecords: Name=SUSE NameType=0x20 (Server) QuestionType=0x20 QuestionClass=0x1
ResourceRecords: Name=SUSE NameType=0x20 (Server) ResType=0x20 ResClass=0x1 TTL=300000 ResourceLength=6 ResourceData= AddrType=0x6000 Address=192.168.1.20 17:42:08.323044 suse.netbios-ns > admiral.lokales-netz.de.netbios-ns:
NBT UDP PACKET(137): REFRESH(8); REQUEST; UNICAST TrnID=0x8008 OpCode=8 NmFlags=0x0 Rcode=0 QueryCount=1 AnswerCount=0 AuthorityCount=0 AddressRecCount=1 QuestionRecords: Name=SUSE NameType=0x20 (Server) QuestionType=0x20 QuestionClass=0x1
ResourceRecords: Name=SUSE NameType=0x20 (Server) ResType=0x20 ResClass=0x1 TTL=300000 ResourceLength=6 ResourceData= AddrType=0x6000 Address=192.168.1.20 17:42:08.324144 suse.netbios-ns > admiral.lokales-netz.de.netbios-ns:
NBT UDP PACKET(137): REFRESH(8); REQUEST; UNICAST TrnID=0x800A OpCode=8 NmFlags=0x0 Rcode=0 QueryCount=1 AnswerCount=0 AuthorityCount=0 AddressRecCount=1 QuestionRecords: Name=SUSE NameType=0x00 (Workstation) QuestionType=0x20 QuestionClass=0x1
ResourceRecords: Name=SUSE NameType=0x00 (Workstation) ResType=0x20 ResClass=0x1 TTL=300000 ResourceLength=6 ResourceData= AddrType=0x6000 Address=192.168.1.20 17:42:08.327478 --- Flatter Schnipsel --- Was soll mir das sagen? Das die WinKiste eine Namensauflösung versucht? Dazu stellt sich mir die Frage ob ich einen DNS Server in meinem Lokalen Netz benötige. Gruß Jürgen
participants (2)
-
Juergen Knott -
Klingler, Karl